Los investigadores de Check Point Research, la división de Inteligencia de Amenazas de la empresa Check Point Software, señalan que Qbot, también conocido como Qakbot y AKA Qakbot, ha infiltrado los sistemas de más de 11,5% de empresas en Chile desde enero de este año.
Este troyano bancario fue diseñado para robar las credenciales bancarias y pulsaciones de teclas de un usuario, y su mayor fortaleza es su capacidad para evadir la detección y dificultar el análisis. Como explica Gery Coronel, Country Manager Chile de Check Point Software, normalmente se distribuye a través de correo electrónico no deseado, empleando varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección.
Frecuentemente, los ataques de phishing utilizan una vulnerabilidad de día cero de Windows para instalar malware QBot a través de archivos distribuidos por correo electrónico, evitando que se muestren las advertencias de seguridad Mark of the Web (MoTW, por sus siglas en inglés), que usualmente aparecen cuando se descargan archivos que no son de confianza.
Los especialistas de Check Point señalan que el avance de QBot se debe principalmente a su amplia capacidad y eficiencia para actuar rápido en el robo de información, robo de credenciales a partir de datos del navegador y cookies, entradas prácticamente automáticas a apps y páginas bancarias, forzamiento de contraseñas y manipulación del registro y creación de tareas programadas para persistir dentro de los computadores.
Otros malware de alta prevalencia en Chile desde enero a la fecha son Emotet, con un 8%, y XMRig, con 4,4%. Emotet es un troyano avanzado, de autopropagación y modular, que alguna vez se usó como un troyano bancario y actualmente distribuye otros malwares o campañas maliciosas, que utiliza varios métodos para mantener las técnicas de persistencia y evasión para evitar la detección, y que se puede propagar a través de correos electrónicos no deseados de phishing que contienen archivos adjuntos o enlaces maliciosos.
XMRig, por su parte, es un software de minería de CPU de código abierto que se utiliza para extraer la criptomoneda Monero. Los ciberdelincuentes a menudo abusan de este software de código abierto integrándolo en su malware, para realizar minería ilegal en los dispositivos de las víctimas.